Рекордный штраф WhatsApp в размере 225 млн евро подчеркивает серьезные проблемы с прозрачностью

Это может занять некоторое время, но штраф в размере 225 миллионов евро, наложенный на WhatsApp Ireland на этой неделе, является вторым по величине штрафом, когда-либо наложенным за нарушение Общего регламента ЕС по защите данных (GDPR).

Безусловно, это точка в море для организации в «семье компаний» Facebook, где материнская компания относится к совокупной группе.

И да, Ирландская комиссия по защите данных (DPC) первоначально предложила штраф в размере 50 миллионов евро, прежде чем вынудить Европейский совет по защите данных (EDPB) поднять ставку.

WhatsApp оспорил результаты DPC и EDPB, а также размер штрафа, который вы можете уменьшить при апелляции.

Но последнее 250-страничное решение комиссара по защите данных Хелен Диксон, датированное 20 августа, но опубликованное на этой неделе, может иметь важное значение для внедрения GDPR в блоке и его взаимодействия с влиятельными «крупными технологическими» компаниями в ЕС.

Как сказал американский эксперт по конфиденциальности Омар Тенни: журналШтраф и его глобальный контекст подчеркивают «необходимость для компаний разрабатывать стратегии обеспечения конфиденциальности, соблюдения нормативных требований и программ снижения рисков».

Хотя разногласия между ирландским DPC и EDPB по поводу расчета штрафа вышли на первый план после того, как решение было опубликовано на этой неделе, подавляющее большинство выводов Диксона не оспаривались другими европейскими надзорными органами в совете.

Результаты также, похоже, многое говорят о подходе WhatsApp Ireland к своим обязательствам по обеспечению прозрачности GDPR и не оставляют сомнений в серьезности нарушений.

излишне расплывчатый

Большинство результатов Диксон основано на правах в соответствии со статьей 13 Общего регламента защиты данных (GDPR).

Это очень просто и просто — контроллеры данных (в данном случае WhatsApp Ireland) должны предоставлять субъектам данных (пользователям WhatsApp) четкую информацию о том, как их данные хранятся и используются, о категориях обрабатываемых данных и для каких целей.

В связи с этим ирландский ЦОД обнаружил, что WhatsApp Ireland не существует, и в некоторых случаях решительно.

Само расследование не рассматривало, как и почему WhatsApp Ireland передала данные пользователей другим компаниям Facebook. Он сосредоточился только на объеме четкой информации, которую приложение для обмена сообщениями предоставляет пользователям и не-пользователям о своих действиях с данными.

В этом отношении некоторая информация, предоставленная WhatsApp, была описана в отчете как «излишне расплывчатая» и «неопределенная».

От пользователей часто требуется согласовывать несколько ссылок для доступа к материалам, которые они ищут на веб-сайте WhatsApp.

«В конце этого упражнения, — продолжает отчет, — использование квалифицированного языка заставляет читателя задуматься, что именно означает« компании Facebook ».

Отдельно, из-за большого количества связанных материалов, «обилия текста» и того факта, что «определенная основная информация была помещена в совершенно отдельное уведомление, содержащее только одну ссылку», запрос обнаружил обработку политики конфиденциальности WhatsApp во время расследования. «упражнение». Излишне расстроен ».

«Потребовалось обширное и неоднократное исследование политики конфиденциальности и связанных материалов, чтобы попытаться собрать воедино весь спектр предоставленной информации».

Функция вызова

Возможно, наиболее серьезный вывод расследования касается обязательства компании информировать пользователей о цели и правовой основе обработки данных.

DPC обнаружил, что компания часто использует несколько правил для «установления» определенных операций обработки.

Со своей стороны, WhatsApp заявил, что он был прозрачным, отметив, что он полагается на разные правовые основы для обработки пользовательских данных «в разных обстоятельствах».

Но Диксон написала в своем решении, что «удивительно», что WhatsApp считает «непрозрачность патента прозрачностью», учитывая ясность принципов прозрачности Европейского Союза.

DPC обнаружил, что WhatsApp не только нарушил свои обязательства перед пользователями, но и не пользователи пострадали аналогичным, если не более серьезным образом.

Это связано с тем, что, когда пользователь WhatsApp включает «функцию вызова» приложения, позволяющую ему добавлять номера телефонов своих друзей в свой список контактов в приложении, он разрешает WhatsApp доступ к этим сведениям, даже к количеству пользователей, не являющихся пользователями.

В апелляции WhatsApp сообщил ЦОДу, что он обрабатывает телефонные номера непользователей не в качестве контроллера данных, а в качестве обработчика данных от имени пользователей.

Когда это происходит, эти номера сохраняются в течение короткого периода перед удалением, и никакой другой информации, которая потенциально может идентифицировать непользователя, не получается.

Но DPC обнаружил, что WhatsApp не предоставил абсолютно никакой информации об этом процессе непользователям и не сообщил им о его цели.

Одним из следствий этого отсутствия прозрачности является то, что не пользователь, рассматривающий возможность регистрации в WhatsApp, не знает, что после регистрации его контактные данные автоматически появятся в списках контактов других пользователей.

И DPC обнаружил, что непользователи, которые позже стали пользователями WhatsApp, были «помечены».

WhatsApp попросили исправить это, предоставив релевантную информацию лицам, не являющимся пользователями, в краткой, прозрачной, понятной и легко доступной форме, используя ясный и понятный язык.

Основное внимание

Возможно, неудивительно, что споры между офисом Диксона и EDPB по поводу расчета штрафа были в центре внимания в те часы, которые были опубликованы на этой неделе.

В конце концов, Хелен Диксон и ее офис подверглись тщательной проверке из-за их загруженности и важности в качестве ведущего европейского регулирующего органа для многих транснациональных компаний со штаб-квартирой в Ирландии.

Тем не менее, само решение WhatsApp должно дать компаниям вроде Facebook понять, каковы их обязательства по обеспечению прозрачности в соответствии с Общим регламентом защиты данных (GDPR).

«В сочетании со штрафом в размере 746 миллионов евро против Amazon в Люксембурге, ирландский нормативный штраф по защите данных по делу WhatsApp создает идеальный шторм для глобальных компаний, которые изо всех сил пытаются разобраться во все более сложной и раздробленной правовой среде», — сказал Омар. Tine. журнал.

«Через три года после того, как GDPR вступил в силу, барабанная дробь многомиллионных штрафов знаменует новую эру обеспечения защиты данных и соблюдения требований».